Du kannst beim Dienst ja sagen, welches Konto er benutzen soll. Mach doch einfach ein Konto so, wie du es testen willst + starten den Dienst mit diesem Konto.

Ich möchte ja, bevor ich den Dienst starte, den Zugriff testen, im Kontext eines Setups und/oder Konfigurationsprogramms. Hier liegt das Hauptproblem. Ein Gedanke war, einfach ein kleines Testprogramm zu schreiben, welches mit übergebenen Daten (Datenbankserver, Name der Datenbank) einen Connect versucht und das Ergebnis zurückmeldet. Dieses Programm könnte ich aus dem Setup heraus unter dem angegebenen Benutzeraccount starten, aber schon das ist ja nicht ganz trivial, vor allem, wenn ich einen Passwort-Prompt vermeiden möchte.

Mit FD weiß ich es auch nicht; aber mit ADO geht es ganz einfach:

Sorry, ADOConnection muss am Ende natürlich auch wieder freigegeben werden.

Trivial sicher nicht, aber ich glaube das Auslagern in einen eigenen Prozess ist wahrscheinlich immer noch einfacher als zu versuchen, das in der Setup-Anwendung nachzubilden, mit all der AD-Authentifizierung und allem. Mit runas könnte man Windows wahrscheinlich auch die Eingabe des Passwortes übernehmen lassen, dann muss man sich damit auch nicht herumschlagen.

Und das Tool braucht ja keine Oberfläche, Benutzer und Kennwort könnte man ihm über Kommandozeile oder Umgebungsvariablen mitgeben und der Rückgabewert beim Beenden des Prozesses muss nur sagen "Ging" oder "ging nicht". Oder es loggt halt Dinge wie eine sprechende Fehlermeldung in eine Textdatei.

So ein kleines Testprogramm ließe sich vielleicht auch recyclen für den Fall der Kunde (oder sein Dienstleister) eines Tages was an Servernamen oder Berechtigungen ändert.

Ups, da habe ich gepennt. Mein Beispiel versucht es ja nur mit dem aktuell angemeldeten User.

Mir fällt jetzt aber noch etwas anderes ein: Als Kunde würde ich nur ungern meine Windows-Anmeldedaten irgendwo in eine Anwendung eintippen, die nicht Windows selbst ist. Hätte ich kein gutes Gefühl dabei. Ist aber Geschmackssache.

Das ist ja nur eine Option.

"Integrierte Sicherheit" sagt, dass das Konto verwendet wird, welches den Prozess ausführt.

Wenn etwas als Dienst läuft, läuft der Prozess im Dienstkonto. Dieses kannst du auch berechtigen in der DB.
Das alles geht auch ohne AD.
Evtl. musst du das Computerkonto berechtigen, wenn das o.g. Konto nicht geht. Computerkonten heißen so wie der PC mit angehängten $ -> MeinPC$
Du kannst den Dienst natürlich auch in jedem beliebigen Konto laufen lassen. Das kannst du in den Dienst-Einstellungen hinterlegen.

Ich als Benutzer freue mich über jedes Passwort welches ich nicht eingeben muss, schließlich bin ich schon in Windows angemeldet.

Das mit den Dienst und dem Systemkonto klingt erstmal komisch für mich.
Das Hauptprogramm läuft doch im Benutzerkonto. Welchen Grund hast du, dass du einen Services zwischen brauchst?
Wenn der Service notwendig ist, dann müsste der Service auf das Benutzerkonto eine Impersonation durchführen.
Alternativ müsste die Verbindung vom Hauptprogramm authentifiziert werden und die Berechtigungen müssen geprüft werden, um dann mit einen Servicekonto in die DB weiter zu gehen.

Ich erwähne dieses, weil schön ist, dass Benutzerkonto von vorne bis hinten zur Verfügung zu haben. Berechtigungen und Audits gehen dann erheblich leichter. Auch die Rechte sollte imho immer am zu sichernden Objekt liegen z.B. an der Datenbanktabelle, Sicht oder Prozedur. Dadurch können auch Daten einfacher gefiltert werden.

Ich auch nicht. Deshalb mein Vorschlag mit dem runas, da sollte Windows selbst die Authentifizierung handeln.